Wer sich zu weit aus dem Fenster lehnt, fällt auch mal raus. Das ist dem Elektronik-Konzern Sony gerade passiert. 77 Millionen Kunden müssen um persönliche Daten fürchten, die sie dem Unternehmen in der Annahme anvertraut hatten, dort seien sie sicher aufbewahrt: Name, E-Mail-Adresse, Geburtsdatum, Logins und Passwörter, dazu die Sicherheitsfrage für das Passwort, das eigene Profil mit Kaufhistorie und der Rechnungsanschrift, eventuell auch die Kreditkartennummer. Fehlt eigentlich nur noch die Nummer des Personalausweises und die Pin der EC-Karte.

Wie konnte das geschehen? Die technischen Sicherheitslücken, durch die sich Hacker Zugang zu diesen Informationen verschafft haben, sind noch nicht bekannt. Insofern kann noch niemand ganz genau sagen, welche Fehler Sony gemacht hat. Offenbar beherrscht der Konzern aber den Teil seiner Produkte nicht ausreichend, der mit Datenverarbeitung einhergeht.

Aufbauend auf der klassischen Hardware, der Spielekonsole, hat Sony im Lauf der Jahre eine umfangreiche Online-Welt entwickelt, das Playstation Network. Hier können Nutzer miteinander spielen, chatten, Filme ansehen sowie diverse Online-Komponenten und Features kaufen.

Für das Unternehmen ist das ein wichtiges Geschäftsfeld. Denn Konsolen kann man knacken ( eben ist Sony wieder gegen zwei Hacker vorgegangen ), Spiele auf Silberscheiben kann man raubkopieren. Das ist mit Online-Angeboten weitaus schwieriger. Dafür binden sie die Nutzer an das Produkt. Aus dem Einmalkäufer der Playstation wird ein dauerhafter Kunde.

Nur darf man fragen, ob tatsächlich so viele Daten nötig sind, um diese Kundenbindung herzustellen. Das deutsche Datenschutzgesetz enthält einen wichtigen Grundsatz, die Datensparsamkeit. Demnach dürfen nur so viele Daten gesammelt werden, wie für die Anwendung unbedingt notwendig sind. Das gilt für staatliche Verwaltungen; es könnte aber auch Orientierung für Unternehmen sein.

Muss man Name, Geburtsdatum, Adresse und E-Mail-Adresse eines Kunden kennen? Nein, zum Kauf eines technischen Geräts reicht im Laden ja auch Bargeld; die Teilnahme an vielen anderen Social-Media-Angeboten erfordert diese Informationen ebenfalls nicht. Warum sollte es bei Sony anders sein?

Muss ein Unternehmen die Kreditkartennummer eines Kunden und die dazugehörigen Authentifizierungsdaten selbst speichern? Nein, es gibt längst Dienstleister (beispielsweise Mastercard oder Visa ), die diesen Part eines Online-Geschäfts etwa durch ein gesondertes Authentifizierungsverfahren mithilfe eines besonderen Sicherheitscodes übernehmen.

Die Antwort auf die Frage, was Sony falsch gemacht hat, ist also: Das Unternehmen sammelt zu viele Daten. Denn niemand, der in dieser Menge Daten hortet, kann sie zuverlässig schützen, sagen Fachleute. 

Warum tun sie es dennoch? Weil sie der weit verbreiteten Annahme folgen, dass der die besten Geschäfte macht, der besonders viel über seine Kunden weiß. Weil sie den Imageschaden eines Datenklaus für geringer achten. Und weil sie damit richtig liegen. Denn nur wenige Kunden proben bislang den Aufstand gegen solches Geschäftsgebaren.